Назад | Перейти на главную страницу

Какие имена хостов и порты нужно открыть в брандмауэре, чтобы обновления Windows работали?

У нас есть набор общедоступных веб-серверов за брандмауэром, на которых мы хотели бы иметь возможность выполнять обновления Windows, не предоставляя им большего доступа, чем им нужно.

Какие еще имена хостов и порты, помимо www.update.microsoft.com:443, необходимо разблокировать для работы обновлений Windows?

Из http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx Это то, что нужно для того, чтобы WSUS работал через ваш брандмауэр (о чем, IMHO, вам обязательно нужно подумать, если у вас более 10 клиентов). Это должно быть то же самое для обычного клиентского ящика для доступа к серверам MS.

Настройте брандмауэр между сервером WSUS и Интернетом

Если между WSUS и Интернетом существует корпоративный брандмауэр, вам может потребоваться настроить брандмауэр, чтобы WSUS мог получать обновления.

Чтобы настроить брандмауэр

  • Если между WSUS и Интернетом существует корпоративный брандмауэр, вам может потребоваться настроить этот брандмауэр, чтобы WSUS мог получать обновления. Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порт 80 для протокола HTTP и порт 443 для протокола HTTPS. Это не настраивается.

  • Если ваша организация не разрешает открывать эти порты и протоколы для всех адресов, вы можете ограничить доступ только для следующих доменов, чтобы службы WSUS и автоматические обновления могли взаимодействовать с Центром обновления Майкрософт:

Описанные выше действия по настройке брандмауэра предназначены для корпоративного брандмауэра, расположенного между WSUS и Интернетом. Поскольку WSUS инициирует весь свой сетевой трафик, нет необходимости настраивать брандмауэр Windows на сервере WSUS. Хотя соединение между Центром обновления Майкрософт и WSUS требует открытия портов 80 и 443, вы можете настроить несколько серверов WSUS для синхронизации с настраиваемым портом.

Чтобы настроить брандмауэр для обновлений программного обеспечения

  1. Настройте брандмауэр, чтобы разрешить обмен данными через порты HTTP и HTTPS (80 и 443).

  2. Убедитесь, что вы разрешаете все URL-адреса Центра обновления Windows. Вот список URL-адресов, которые вы также захотите разрешить:

URL:

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http: //*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

У нас были проблемы с нашим прокси и обновлением Windows, и они рекомендовали:

download.windowsupdate.com
windowsupdate.com
c.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com

Думаю, порты должны быть только 80 и 443. Вам может потребоваться открыть BITS, если он использует другой порт.

Поскольку URL-адреса немного изменились с момента принятого ответа, я опубликую последнюю информацию на этот раз ниже.

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http: //*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

Источник: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server-to- интернет

Я бы предложил добавить * .microsoft.com в качестве имени хоста, если программное обеспечение его поддерживает, а в отношении портов вам понадобятся только порты 80 и 443.